PDF de programación - Implantación de un Sistema de Detección de Intrusos en la Universidad de Valencia

Proyecto Final de Carrera

Implantación de un Sistema de Detección de

Intrusos en la Universidad de Valencia

Ingeniería Informática

Universidad de Valencia

Emilio José Mira Alfaro
Tutor: Rogelio Montañana

2

Índice general

1. Introducción

1.3.4. Clasificación de los IDSs . . . .

. . . . .
. . . . .

. . . . . .
. . . . . .

1.1. Problemática
. . .
1.2. Motivación . . . .
1.3.

. . . . . .
. . . . . .
Introducción a los Sistemas de Detección de Intrusos . . . .
¿Qué es un Sistema de Detección de Intrusos? . . . .
1.3.1.
. . .
1.3.2.
¿Por qué utilizar un IDS?
. . . . . .
. . . . . .
1.3.3. Arquitectura de los IDSs . . . .

. . . . .
. . . . .

. . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. .
.
. . . . . .

. . . . .
1.3.4.1. Fuentes de información . . . .
. . . . .
1.3.4.2. Tipo de análisis
. . .
. . . . .
1.3.4.3. Respuesta . . . . . .
. . . . .
1.3.5. Herramientas y complementos .
. . . . . .
. . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. . . . . .
. . . . .
. . . . .
. . . . . .
. . . . .
. . . . . .
. .
. . . .
. . . . .

1.5.1.
Inserción .
1.5.2. Evasión . .
1.5.3. Evasión e inserción en el mundo real.

1.4. ¿Dónde colocar un IDS? . .
1.4.1. Organización . . . .
1.4.2.
. . . . .
1.5. Limitaciones de los NIDSs .
. . . . .
. . . . .

1.6. Actualidad en la detección de intrusiones
1.6.1. Proyectos de investigación . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
.
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

1.3.3.1. CIDF (Common Intrusion Detection Framework)
1.3.3.2. CISL (Common Intrusion Specification Language)
1.3.3.3. Autopost de AusCERT . . . .
1.3.3.4. Arquitectura de IDWG (Intrusion Detection Working Group)

. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
. . . . . .
. .
1.6.1.1. Adaptative Intrusion Detection system - AID . . . . .
. .
1.6.1.2. Agentes Autónomos para la Detección de Intrusiones
1.6.1.3. Detección de intrusiones basada en grafos (GrIDS - Graph-based
. .
. .
. .
. .
. .
. .
. .

Intruson Detection System), Universidad de California, Davis.
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. . . . .
1.6.2.1. Dragon - Enterasys Networks .
1.6.2.2. NetRanger - Cisco Systems . .
1.6.2.3.
1.6.2.4. Snort . . .
1.6.2.5. Shadow .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

Internet Security Systems - RealSecure R

1.6.2. Productos comerciales . . . . .

ISP . . . .

. . . . . .

. . . . . .
. . . . . .
. . . . . .

. . . . . .
. . . . . .

. . . . .
. . . . .

. . . . . .
. . . . . .

3

11
11
12
13
13
14
15
15
16
17
17
17
18
19
21
22
22
23
24
25
26
26
27
28
28
28
30

33
34
34
38
40
41
43

4

ÍNDICEGENERAL

2. Análisis de requisitos y diseño del sistema

2.1. Objetivos y requerimientos del sistema .
2.2. Posibles ubicaciones del sensor . . . . .
. . . . . .
2.2.1. PVC multipunto . .
2.2.2. Splitter ATM . . . .
. . . . . .
2.2.3. Conmutadores LAN . . . . . .
. . . . . .
2.2.4. Concentradores . . .
. . . . . .
. . . . .
2.2.5. Taps . . . .
. . . . . .
. . . . .
2.2.6. Router . . .
2.3. Elección del sistema
. . . .
. . . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
2.3.1. Comentarios acerca de la máquina . . . .
. . . . .
2.3.2. Comentarios acerca del NIDS .
2.3.3. Elección de la base de datos. . .
. . . . .
. . . . .
2.3.4. Elección de software adicional .
. . . . .
. . . . . .
. . . . .
2.4.1. Gestor de incidencias . . . . . .
2.4.2. Benchmark . . . . .
. . . . . .
. . . . .
. . . . .
. . . . . .
2.5. Diseño del sistema . . . . .
2.6. Presupuesto . . . .
. . . . .
. . . . . .
. . . . .

2.4. Software a implementar . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

3. Desarrollo

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

3.1.1. Riesgo bajo . . . . .
3.1.2. Riesgo medio . . . .
3.1.3. Riesgo alto . . . . .

3.1. Creación de una política de seguridad .
. . . . . .
. . . . . .
. . . . . .
3.2. Configuración y testeo de la máquina . .
3.2.1. Actualización del sistema
. . .
3.2.2. Configuración de red . . . . . .
3.2.3. Seguridad de la máquina . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. .
3.2.3.1. Eliminación de servicios innecesarios.
3.2.3.2.
. . . . . .
3.2.3.3. Configuración del firewall interno . . . . .
. . . . .
3.2.4. Configuración de Snort . . . . .
. . . . . .
3.2.5. Configuración de MySQL . . .
. . . . .
. . . . . .
3.2.6. Configuración de Apache+PHP . . . . .
. . . . . .
Implantación del IDS . . . .
. . . . .
. . . . . .
3.3.1. Sesión SPAN en un conmutador Catalyst 5500 . . .
3.3.1.1. Monitorización de un servidor proxy . . .
3.3.1.2. Monitorización de una VLAN .
. . . . . .
. . . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
3.3.2.1. PVC multipunto entre EB-VALENCIA y Gordius . .
. . . . . .
3.3.2.2. PVC multipunto entre Juniper y Gordius .
. . . . . .
. . . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
’IDS Alerts’: Programa para la gestión de respuestas a incidencias . . . .
. . . . .
’IDS Bench’: Programa para la medición del rendimiento . . . .
. . . . .
. . . . . .
. . . . . .
. . . . .

3.4.1.
3.4.2.
3.4.3. Scripts de consulta a la base de datos.

3.4. Aplicaciones desarrolladas .

. . . . . .

. . . . .

. .
. . . . .

. . . . . .
. . . . . .

3.4.3.1. Ranking.pl . . . . . .

Instalación de Tripwire . . . .

3.3.

. . . . . .

3.3.2. PVC ATM multipunto . . . . .

45
45
46
46
47
47
48
48
50
50
50
51
52
52
53
53
53
54
54

55
55
55
56
56
58
58
59
60
61
61
61
62
64
65
66
66
67
68
70
70
72
73
73
76
77
79

. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .

. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .
. .

ÍNDICEGENERAL

3.4.3.2.
3.4.3.3.
3.4.3.4.

shsig.pl . .
ship.pl
. .
shsigip.pl .

. . . . . .
. . . . . .
. . . . . .
3.4.4. Scripts de configuración . . . .
3.5. Pruebas controladas de ataques . . . . .
. . . . . .
3.5.1. Ataques estándar . .
3.5.2. Ataques enmascarados . . . . .

4. Resultados

. . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. .
. .
. .
. .
. .
. .
. .

5

80
81
82
83
83
83
84

4.1.1. Snort
. . . . .
4.1.2. Snort+MySQL . . .

. . . . . .
. . . . . .
4.2. Resultados de la simulación de ataques .
4.2.1. Ataques estándar . .
. . . . . .
4.2.2. Ataques enmascarados . . . . .

4.1. Resultados de las pruebas de rendimiento . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
4.2.2.1. Modificaciones sintácticas del patrón de búsqueda . .
4.2.2.2. Evasión e inserción .
. . . . . .
. . . . . .
4.3. Caso práctio de análisis de ataques . . .
. . . . . .
IDS monitorizando una VLAN .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

4.3.1.
4.3.2. Ranking de ataques .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

4.4. Trabajo futuro . . .

5. Conclusiones

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

87
87
. .
87
. .
89
. .
91
. .
91
. .
92
. .
92
. .
93
. .
95
. .
. .
96
. . 109
. . 117

119

Apéndice A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121

Apéndice B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

6

ÍNDICEGENERAL

Índice de figuras

. . . . . .

. . . . .
. .

requerido para su uso [7]. . .

. . . . . .
. . . . . .
. . . . .

. .
. . . . .
. . . . .
. . . . .

. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .

. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .

1.1. Crecimiento de la complejidad de los ataques en relación al conocimiento técnico
. .
. . . . . .
. .
. . . . . .
1.2. Diagrama de bloques de la arquitectura CIDF.
. .
1.3. Localización de un IDS dentro de una organización. . . . . .
. .
. . . . . .
1.4. Distribución de los sensores dentro de un ISP.
. .
. . . . . .
. . . .
1.5. Ataque de inserción.
. .
. . . . .
1.6. Ataque de evasión.
. . . . . .
1.7. Arquitectura de